一.SQL Inject注入漏洞的防范
(1)PHP防范转义+过滤
可以将前台的一些特殊符号用函数将它给替代掉,或者是过滤掉一些特殊内容,这样的内容将不能输入,但是因为代码的升级换代比较快,所以在这样的转义加过滤中可能会出现一些疏忽
那么什么样的方法比较合适,这就是接下来要讲的PDO预处理
POD会通过预处理,把前面提交的语句被占位符去代替,然后再把参数传进去,以索引数组的方式传进去,而不是拼接,就成功防止了注入
(2)网络防护
在攻击者发现了你的网站漏洞,并制作payload来提交的时候,WAF(Web applicaton firewall)会把这些payload都识别出来,并把恶意的payload给阻拦掉,但我们并不能完全相信WAF,所以我们最好还是让开发者把预处理做好,并把waf部署好
我们本地的一些防火墙现在还有一些云化服务,因为现在有很多企业都会过云端,攻击者通过dns解析到的ip地址可能是云厂商提供的ip,这时候云厂商就会提供一个云waf的功能,还附加流量清洗,SDN加速